帳戶和權限需求

Communications Server 2007 R2

上次修改主題的時間: 2009-04-01

下列為 Office Communications Server 2007 R2 的安全性需求:

  • 系統管理認證
  • 安全性層級
  • 媒體閘道安全性

下表概要說明部署各種伺服器角色時的必要權限。

Dd425321.note(zh-tw,office.13).gif附註:
根據預設,您需要 Domain Admins 群組的成員身分來部署或啟動已經加入 Active Directory 網域的伺服器。如果您不想將此層級的權限賦予要部署 Office Communications Server 的群組或使用者,則您可以透過安裝委派精靈,將完成此工作所需的權限子集賦予特定群組。

表 1 部署工作所需的系統管理認證

程序 需要的系統管理認證或角色

Standard Edition

 

安裝必要軟體

RTCUniversalServerAdmins 群組

Domain Admins 群組

準備 Active Directory 網域服務 (AD DS)

架構主機上的 Schema Admins 群組成員和 Administrator 權限

樹系根網域的 EnterpriseAdmins 群組成員

EnterpriseAdmins 或 DomainAdmins 群組成員

準備好 Windows 以進行安裝

Administrators 群組

建立並驗證 DNS 記錄

DNS Admins 群組

部署與啟動 Standard Edition Server 和應用程式

RTCUniversalServerAdmins 群組

Domain Admins 群組

設定 Standard Edition Server

RTCUniversalServerAdmins 群組

設定 Office Communications Server 的憑證

Administrators 群組

RTCUniversalServerAdmins 群組

啟動服務

RTCUniversalServerAdmins 群組

驗證伺服器設定

RTCUniversalServerAdmins 群組

設定 A/V 和 Web 會議 (選擇性)

RTCUniversalServerAdmins 群組

Enterprise Edition (合併的拓撲)

 

安裝必要軟體

RTCUniversalServerAdmins 群組

Domain Admins 群組

準備 AD DS

架構主機上的 Schema Admins 群組成員和 Administrator 權限

樹系根網域的 EnterpriseAdmins 群組成員

EnterpriseAdmins 或 DomainAdmins 群組成員

準備好 Windows 以進行安裝

Administrators 群組

安裝 SQL Server

本機系統管理員

為 Office Communications Server 設定 SQL Server

SQL Server 系統管理員

本機系統管理員

為集區設定負載平衡器 (選擇性)

負載平衡器系統管理員

建立並驗證 DNS 記錄

DNS Admins 群組

建立集區

RTCUniversalServerAdmins 群組

Domain Admins 群組

設定集區和應用程式

RTCUniversalServerAdmins 群組

將伺服器新增到集區

Administrators 群組

RTCUniversalServerAdmins 群組

Domain Admins 群組

設定 Office Communications Server 的憑證

Administrators 群組

RTCUniversalServerAdmins 群組

啟動服務

RTCUniversalServerAdmins

驗證伺服器和集區設定

RTCUniversalServerAdmins

電話撥入式會議

 

安裝及啟動 Office Communications Server 2007 R2

Administrators 群組

RTCUniversalServerAdmins 群組

Domain Admins 群組

啟動會議服務員和會議宣告服務應用程式

RTCUniversalServerAdmins 群組

Domain Admins 群組

安裝、啟動和設定 2007 R2 版本的 Microsoft Office Communicator Web Access Server

Administrators 群組

Domain Admins 群組

啟用 Communicator Web Access 的遠端使用者存取功能 (選擇性)

Administrators 群組

Domain Admins 群組

測試電話撥入式會議網頁

Office Communications Server 2007 R2 使用者

建立一個或多個位置設定檔

RTCUniversalServerAdmins 群組

設定通用原則以支援電話撥入式會議

RTCUniversalServerAdmins 群組

部署中繼伺服器

RTCUniversalServerAdmins 群組

部署協力廠商的基本媒體閘道

或是

設定中繼伺服器以執行 SIP 主幹

RTCUniversalServerAdmins 群組 (用於設定中繼伺服器)

SIP 主幹提供者的系統管理員

回應群組服務

 

安裝及啟動 Office Communications Server 2007 R2

Administrators 群組

RTCUniversalServerAdmins 群組

Domain Admins 群組

啟動回應群組服務應用程式

RTCUniversalServerAdmins 群組

Domain Admins 群組

為伺服器集區新增專員、建立專員群組,並建立佇列

RTCUniversalServerAdmins 群組

建立工作流程

RTCUniversalServerAdmins 群組

設定回應群組索引標籤

Domain Admins 群組

封存伺服器

 

安裝必要軟體

Administrators 群組和 Domain Admins 群組 (用於安裝已啟用 Active Directory 整合的 Message Queuing)

安裝及啟動封存伺服器

Administrators 群組

Domain Admins 或 RTCUniversalServerAdmins 群組

設定封存伺服器關聯

Administrators 群組

設定要封存的使用者

RTCUniversalUserAdmins 群組

啟動封存服務

RTCUniversalUserAdmins 群組

監控伺服器

 

安裝必要軟體

Administrators 群組

Domain Admins 群組 (用於安裝已啟用 Active Directory 整合的 Message Queuing)

安裝及啟動監控伺服器

Administrators 群組

Domain Admins 或 RTCUniversalServerAdmins 群組

啟動服務

Administrators 群組

部署監控伺服器報告

Administrators 群組

設定監控伺服器關聯

Administrators 群組

Communicator Web Access

 

安裝及啟動

Domain Admins

建立虛擬伺服器

Domain Admins 或 RTCUniversalServerAdmins 和本機系統管理員

發佈 Communicator Web Access URL

Domain Admins 或 RTCUniversalServerAdmins 和本機系統管理員

管理 Communicator Web Access 設定

Domain Admins 或 RTCUniversalServerAdmins 和本機系統管理員

群組交談

 

建立 SQL Server 資料庫

資料庫系統管理員

設定群組交談帳戶和權限

Administrators 群組

取得群組交談的憑證

Administrators 群組

安裝群組交談

Administrators 群組

在 IIS 中設定網站設定

Administrators 群組

將群組交談系統管理工具連線至群組交談

Administrators 群組

通道服務系統管理員

設定群組交談使用者存取

Administrators 群組

部署封存和規範支援

資料庫系統管理員

Administrators 群組

系統管理工具

 

在未執行 Office Communications Server 的集中式管理主控台上安裝系統管理工具

Administrators 群組

Domain Admins 群組

設定使用者帳戶設定

RTCUniversalUserAdmins

設定所有其他設定 (非使用者帳戶設定)

RTCUniversalServerAdmins

Edge Server

 

設定 Edge Server 的基礎結構

Administrators 群組

設定 Edge Server

Administrators 群組

Domain Admins 或 RTCUniversalServerAdmins 群組

設定環境

Administrators 群組

Domain Admins 或 RTCUniversalServerAdmins 群組

驗證邊緣設定

Administrators 群組

Domain Admins 或 RTCUniversalServerAdmins 群組

Communicator Mobile for Windows Mobile

 

安裝先決條件

管理員

安裝 Communicator Mobile for Windows Mobile

管理員

安裝自我簽署憑證

管理員

設定用戶端

管理員

測試 IM 和顯示狀態

管理員

Communicator Mobile for Java

 

確認已符合先決條件和相依性。

管理員

部署 Communicator Mobile 元件

管理員

安裝 Communicator Mobile for Java 用戶端軟體

管理員

設定及使用用戶端

管理員

測試 IM 和顯示狀態

管理員

外部語音控制

 

安裝及啟動 Office Communications Server 2007 R2

Administrators 群組

RTCUniversalServerAdmins 群組

Domain Admins 群組

啟動外部語音控制應用程式

RTCUniversalServerAdmins 群組

Domain Admins 群組

啟動應用程式

RTCUniversalServerAdmins 群組

在支援的行動用戶端上測試外部語音撥號功能

Office Communications Server 2007 R2 使用者

Enterprise Voice (PBX 共存)

 

部署 Office Communications Server,包括連線至 PBX 的中繼伺服器

  • 建立 Enterprise Pool:RTCUniversalServerAdmins 和 Domain Admins 或相等的認證
  • 設定集區:RTCUniversalServerAdmins
  • 新增伺服器到集區:RTCUniversalServerAdmins
  • 設定憑證:RTCUniversalServerAdmins
  • 設定 Web 元件伺服器憑證:本機系統管理員認證
  • 驗證伺服器和集區功能:RTCUniversalServerAdmins

部署 Office Communicator 2007

正在安裝 Office Communicator 之電腦上的系統管理員

啟用使用者的 IM 和顯示狀態

RTCUniversalUserAdmins 群組

針對 Enterprise Voice 設定 Communications Server

RTCUniversalServerAdmins 群組

設定 PBX 將通話分支到 Office Communications Server

RTCUniversalServerAdmins (從 AD DS 取得資訊將分機轉換為正確的電話 URI)

部署媒體閘道 (如果有必要的話)

媒體閘道是外部系統,具備自己的驗證及授權配置。如果媒體閘道需要建立受信任的服務項目,您至少必須是 RTCUniversalServerAdmins 群組的成員。

部署 RCC 閘道 (如果有必要的話)

RCC 閘道是外部系統,具備自己的驗證及授權配置。您至少必須是 RTCUniversalServerAdmins 群組的成員,才能建立必要的受信任服務項目。

啟用使用者的 Enterprise Voice 和 PBX 整合

RTCUniversalUserAdmins 群組

Enterprise Voice 獨立式 (無 PBX 共存)

 

部署 Office Communications Server

  • 建立 Enterprise Pool:RTCUniversalServerAdmins 和 Domain Admins 或相等的認證
  • 設定集區:RTCUniversalServerAdmins
  • 新增伺服器到集區:RTCUniversalServerAdmins
  • 設定憑證:RTCUniversalServerAdmins
  • 設定 Web 元件伺服器憑證:本機系統管理員認證
  • 驗證伺服器和集區功能:RTCUniversalServerAdmins

部署 Office Communicator 2007

正在安裝 Office Communicator 之電腦上的系統管理員

針對 Enterprise Voice 設定 Office Communications Server

RTCUniversalUserAdmins 群組

部署 Exchange Server 2007 Unified Messaging,並設定為與 Office Communications Server 整合

  • 如果是 Office Communications Server:RTCUniversalServerAdmins 群組
  • 如果是 Exchange Server:當 Office Communications Server 和 Exchange Server 在相同的樹系中執行時,Exchange 組織系統管理員權限就足夠了。
    Dd425321.note(zh-tw,office.13).gif附註:
    用來設定 Exchange Unified Messaging 的使用者帳戶,在 AD DS 中必須有 Office Communications Server 集區的讀取存取權,並且在 Exchange 設定容器 (First Organization\UM Dial Plan Container、UM IP Gateway Container、UM Auto Attendant Container 等) 上具有讀取/寫入的存取權。

部署媒體閘道

媒體閘道是外部系統,具備自己的驗證及授權配置。如果媒體閘道需要建立受信任的服務項目,您至少必須是 RTCUniversalServerAdmins 群組的成員。

啟用使用者的 Enterprise Voice

RTCUniversalUserAdmins 群組

裝置更新服務

 

部署

裝置更新服務會自動安裝在 Web 元件伺服器上。除了部署 Standard Edition 或 Enterprise Edition 時所需的權限外,不需要其他特定的部署權限。

部署 Office Communications Server 2007 R2 時所需的安全性層級,取決於組織打算部署的元件。

Exchange UM 安全性層級

Exchange Unified Messaging (UM) 撥號對應表支援三個不同的安全性層級:Unsecured、SIPSecured 和 Secured。您可以透過 UM 撥號對應表的 VoipSecurity 參數來設定安全性層級。下表根據相互 TLS (MTLS) 及/或安全即時傳輸通訊協定 (SRTP) 的啟用與否,顯示適當的撥號對應表安全性層級。

表 2. 各種相互 TLS 和 SRTP 組合的 VoipSecurity 值

安全性層級 相互 TLS SRTP

Unsecured

已停用

已停用

SIPSecured

已啟用 (必要)

已停用

Secured

已啟用 (必要)

已啟用 (必要)

將 Exchange UM 與 Communications Server 2007 R2 整合在一起時,您需要針對每一個語音設定檔選取最適當的撥號對應表安全性層級。在進行這項選擇時,您應該考量以下事項:

  • Exchange UM 與 Office Communications Server 之間需要有 MTLS。因此,撥號對應表安全性層級不能設為 Unsecured。
  • 將撥號對應表安全性設為 SIPSecured 時,會停用 SRTP。在此情況下,Office Communicator 2007 R2 用戶端加密層級必須設為拒絕或選擇性。
  • 將撥號對應表安全性設為 Secured 時,會啟用 SRTP 而且 Exchange UM 也需要它。在此情況下,Office Communicator 2007 R2 用戶端加密層級必須設為選擇性或必要。

在中繼伺服器與 Communications Server 網路之間的往返流動的媒體會使用 SRTP 來加密。強烈建議那些依賴 IPsec 取得封包安全性的組織在部署 Enterprise Voice 時,最好在小型媒體連接埠範圍中建立例外。IPsec 所需的安全性交涉不會影響一般 UDP 或 TCP 連線的運作,但是可能會讓通話的建立速度降低到無法接受的程度。

由於媒體閘道會接收來自 PSTN 的來電,其可能存在潛在的安全性漏洞,以下是建議的安全防護動作:

  • 在閘道與中繼伺服器之間的連結上啟用 TLS。這麼做可確保在閘道與內部使用者之間針對訊號進行端對端的加密。
  • 將媒體閘道與內部網路實際隔離,其方式是將中繼伺服器部署在裝有兩張網路介面卡的電腦上:第一張卡接受來自內部網路的流量,而第二張卡則接受來自媒體閘道的流量。每一張卡都有設定個別的聆聽位址,好讓源自於 Communications Server 網路的受信任流量與來自於 PSTN 的未受信任流量之間有清楚的區隔。
    中繼伺服器的內部邊緣應該設為可對應到唯一的靜態路由,此路由是由 IP 位址和連接埠編號所描述。預設的連接埠為 5061。
    中繼伺服器的外部邊緣應該設為媒體閘道內部的下一個躍點 Proxy,它應該由 IP 位址和連接埠編號的唯一組合所識別。此 IP 位址不應該與內部邊緣的 IP 位址相同,但是預設的連接埠為 5060。
顯示: